POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH WG RODO

Coraz częściej podmioty publiczne i prywatne decydują się na przekazanie/powierzenie niektórych usług wyspecjalizowanym firmom zewnętrznym. Niejednokrotnie powierzając na stałe bądź czasowo wykonywanie jakiejś usługi, przekazujemy również dane osobowe.
W takich okolicznościach musimy zadbać o właściwe uregulowanie umowne tych kwestii.
W obecnie obowiązującej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych funkcjonuje z powodzeniem instytucja powierzenia przetwarzania danych, którą reguluje art. 31. Niemniej jednak zostanie ona nieco zmodyfikowana i rozbudowana na gruncie funkcjonowania RODO.

  1. Strony

W RODO stronami powierzenia przetwarzania są administrator oraz podmiot przetwarzający, który w imieniu administratora wykonuje usługi outsourcingowe. Obowiązkiem administratora będzie taki dobór podmiotów przetwarzających, którzy zapewnią gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych spełniło wymogi RODO. Jednocześnie administrator musi mieć możliwość wykonania kontroli przetwarzanych danych w lokalizacji bądź na serwerach podmiotu przetwarzającego.

  1. Forma

Forma pisemna, w tym forma elektroniczna powierzenia przetwarzania. RODO wymienia formę umowy lub innego instrumentu (aktu) prawnego, który może wiązać podmiot przetwarzający i administratora. Zasadnym jest stwierdzenie, że w polskim systemie prawnym forma porozumienia byłaby również dopuszczalna.

  1. Treść

Obligatoryjne elementy umowy (lub innego instrumentu prawnego) powierzenia przetwarzania danych osobowych, które zostały wyszczególnione w RODO:

  1. Przedmiot;

  2. Czas trwania;

  3. Charakter i cel przetwarzania;

  4. Rodzaj danych osobowych podlegających powierzeniu;

  5. Kategorie osób, których dane dotyczą;

  6. Obowiązki i uprawnienia administratora;

  7. Zgoda na tzw. „podpowierzenie” danych konkretnemu podwykonawcy (wymienionemu pisemnie z nazwy lub nazwiska i siedziby w treści umowy lub innym dokumencie). Pomiędzy podmiotem przetwarzającym a podwykonawcą (kolejnym podmiotem przetwarzającym) powinna zostać zawarta umowa o podobnej treści, jak umowa z administratorem, dająca takie same gwarancje zapewnienia ochrony danych, ponieważ to pierwotny podmiot przetwarzający ponosi odpowiedzialność za ewentualne niewywiązanie się z obowiązków przez podwykonawców;

  8. Zapewnienie, że podmiot będzie przetwarzał dane na udokumentowane polecenie administratora;

  9. Zobowiązanie, że osoby upoważnione ze strony podmiotu przetwarzającego zostaną zobligowane do zachowania tajemnicy;

  10. Środki zapewniające bezpieczeństwo przetwarzanych danych (np. pseudonimizacja, szyfrowanie, analizy ryzyka, zdolność do szybkiego przywrócenia dostępności danych, itp.);

  11. Pomoc w wywiązaniu się administratora danych z obowiązku odpowiadania na żądanie osoby, której dane dotyczą w zakresie jej praw;

  12. Pomoc administratorowi danych w zapewnieniu bezpieczeństwa danych osobowych;

  13. Obowiązek usunięcia wszelkich danych i ich kopii po zakończeniu świadczenia usług;

  14. Umożliwienie przeprowadzania audytów i inspekcji.

Zgodnie z art. 28 ust. 8 RODO organ nadzorczy (w przypadku Polski – Prezes Urzędu Ochrony Danych) może przyjąć i opublikować standardowe klauzule umowne, które będą każdorazowo stosowane przy zawieraniu umów powierzenia przetwarzania danych. Pozostaje mieć nadzieję, że standardowe klauzule umowne uda się opracować i udostępnić na stronie internetowej organu, przed rozpoczęciem stosowania RODO.